node中Session持久化与Redis缓存

IC图片目前的管理系统（搜索质量评估、电销、云平台、性能监控、账号体系、图片爬虫）都是基于node前后端全栈开发，数据存储也用到mongodb、mysql、redis，本文简单描述一下HTTP协议、cookie、session、以及node项目中如何引入redis做session持久化

HTTP协议和TCP/IP协议组中其它协议相同，用于客户端和服务器端之间的通信，HTTP是一种无状态协议，及协议本身不保存客户端和服务端的通信状态，也就是说在HTTP这个级别，协议不会对请求或响应做持久化处理,当然这也是为了更快的处理大量事务，确保协议的可伸缩性。

cookie: 为了解决HTTP的无状态，引入了Cookie技术，Cookie技术通过在请求和响应报文中写入cookie信息来控制客户端的状态。

session: 为了跟踪客户端的状态，服务器端借助于客户端的cookie和后端存储实现的会话状态。所以说，Session机制决定了当前客户只会获取到自己的Session，而不会获取到别人的Session

一、cookie

1.1 概述

在HTTP协议中，制定了Cookie机制，用于实现客户端和服务器之间的状态共享。

Cookie是解决HTTP无状态性的有效手段，服务器可以设置(set-cookie)或读取cookie中所包含的信息。

当用户登录后，服务器会发送包含登录凭据的cookie到用户浏览器客户端，而浏览器对该Cookie进行某种形式的存储（内存或硬盘）。

用户再次访问该网站时，浏览器会发送该Cookie（Cookie未到期时）到服务器，服务器对该凭据进行验证，合法时使用户不必输入用户名和密码就可以直接登录。

1.2 实现原理

Cookie定义了HTTP请求头和HTTP响应头，客户端和服务器端通过这些头信息进行状态交互。

客户端第一次请求：服务器端如果需要记录用户信息，才会在响应信息中返回 Set-cookie 响应头

客户端会根据响应头存储Cookie信息

客户端再次请求：会在请求头上带上存储的cookie信息，服务端通过cookie信息识别用户

1.3 cookie 类别

cookie 总是存储在客户端（通常指浏览器），根据其存储位置可以分为：内存式cookie、硬盘式cookie

内存式：存储在内存中，浏览器关闭后清除，也非持久存储（会话cookie）

cookie 不包含到期日期，则可视为会话 cookie。 会话 cookie 存储在内存中，决不会写入磁盘。 当浏览器关闭时，cookie 将从此永久丢失

硬盘式：保存在硬盘中，浏览器关闭后不会清除，除非手动清除或到了过期时间，也叫持久存储（持久cookie）

cookie 包含到期日期，则可视为持久性 cookie。 在指定的到期日期，cookie 将从磁盘中删除

注：通常我们可以通过 expires 到期时间来做区分

1.4 HTTP 协议中为 cookie 服务的首部字段

Set-cookie: 响应首部字段，开始状态管理所使用的Cookie信息

Cookie: 请求首部字段，服务端接收到的cookie信息

1.5 cookie-parser

cookie-parser是 node 中用于操作 cookie 的中间件，用法也比较简单

安装

npm install cookie-parser --save  

参数说明

response 设置的 cookie 信息会随HTTP响应头中的set-cookie，返回给客户端

function(request, response, next) {  
    res.cookie(name, value [, options])
}

name：cookie 名

value：cookie 值（可以是 json 对象或字符串）

options：set-cookie选项，[同上图]

domain：cookie在什么域名下有效，类型为String。默认为网站域名

expires：cookie过期时间，类型为Date。如果没有设置或者设置为0，那么该cookie只在这个这个session有效，即关闭浏览器后，这个cookie会被浏览器删除

httpOnly：只能被web server访问，类型Boolean

maxAge：实现expires的功能，设置cookie过期的时间，类型为String，指明从现在开始，多少毫秒以后，cookie到期

path：cookie在什么路径下有效，默认为'/'，类型为String

secure：只能被HTTPS使用，类型Boolean，默认为false

signed：使用签名，类型Boolean，默认为false。[express会使用req.secret来完成签名，需要cookie-parser配合使用]  

使用

// 1.引入
var cookieParser = require('cookie-parser'); // 引入模块  
app.use(cookieParser()); // 挂载中间件(实例化)

// 2.创建
res.cookie(name, value [, options]);  
{
    'maxAge': 90000, // 有效时长(毫秒)
    'signed': false // 默认为false，表示是否签名(Boolean)
}


// 3. 获取cookie
var cookies = req.cookies  // 获取cookie集合  
var value = req.cookies.key  // 获取名称为key的cookie的值


// 4. 删除cookie
res.clearCookie(name [, options]) // name 是 cookie 名，options 与创建 cookie 时所传一致


// 5.签名
// 上文所写 cookie 的各种操作，都是没有经过签名的。
// 签名可以提高安全性。
// 下面是使用签名生成 cookie 的方法，大同小异，修改上文即可
app.use(cookieParser('yog')); // 需要传一个自定义字符串作为 secret


// 创建 cookie 的 options 中，必填 signed: true
res.cookie(name, value, { 'signed': true});  
var cookies = req.signedCookies // 获取 cookie 集合  
var value = req.signedCookies.key // 获取名称为 key 的 cookie 的值  

二、session

2.1 概述

Session需要借助Cookie实现，Session数据存储在服务端，而只在Cookie中存储一个SessionId，可以保证安全性和降低服务器负载。

2.2 express-session

express-session真正在服务端保存数据的中间件，它需要独立安装

安装

npm install express-session --save  

引入

var session = require('express-session');  
app.use(session([options]));  

几个常用的 options

{
    'secret': 'yog',    // 签名，与上文中cookie设置的签名字符串一致
    'cookie': {
        'maxAge': 90000
    },
    'name': 'session_id' //  在浏览器中生成cookie的名称key，默认是connect.sid
}

因为创建 session 的同时会创建 cookie 来保存 sessionId，所以 options 中的 cookie.maxAge 可看作是 session 的有效时长

使用

// 创建session
// req.session.key = value

// 创建多个session
req.session = {  
    key1: value1,
    key2: value2
}

// 2. 获取session
var session = req.session // 获取session集合  
var value = req.session.key // 获取名称为key的session的值

//3. 销毁session
req.session.destroy() # 清空所有session  
req.session.key.destroy() # 销毁名称为key的session的值  

三、redis

session存在的问题：Session用于在服务端保存用户会话状态（如：用户登录信息等） ，Session在程序重启、多进程运行、负载均衡、跨域等情况时，会出现Session丢失或多进程、多个负载站点间状态不能共享的情况

要解决这些问题：我们需要将Session持久化存储，Redis存储是一个非常不错的Session持久化解决方案

Redis 是一个高性能的key-value数据库

3.1 概述

特点

Redis支持数据的持久化，可以将内存中的数据保存在磁盘中，重启的时候可以再次加载进行使用

Redis不仅仅支持简单的key-value类型的数据，同时还提供list，set，zset，hash等数据结构的存储

Redis支持数据的备份，即master-slave模式的数据备份

优势

性能极高 – Redis能读的速度是110000次/s，写的速度是81000次/s

丰富的数据类型 – Redis支持二进制案例的 Strings, Lists, Hashes, Sets 及 Ordered Sets 数据类型操作

原子 – Redis的所有操作都是原子性的，同时Redis还支持对几个操作全并后的原子性执行

丰富的特性 – Redis还支持 publish/subscribe, 通知, key 过期等等特性

3.2 connect-redis

connect-redis是一个 Redis 版的 session　存储器，使用node_redis作为驱动。借助它即可在Express中启用Redis来持久化你的Session

使用之前先搭建好redis环境和express应用，Mac下面非常简单，参考：redis搭建 ／ Hello world 示例

安装

npm install connect-redis --save  

参数说明

client: 你可以复用现有的redis客户端对象， 由redis.createClient() 创建

host: Redis服务器名

port: Redis服务器端口

socket: Redis服务器的unix_socket

ttl: Redis session TTL 过期时间 （秒）

disableTTL: 禁用设置的 TTL

db: 使用第几个数据库

pass: Redis数据库的密码

prefix: 数据表前辍即schema, 默认为 "sess:"

使用

// 将 express-session 传给 connect-redis 来启用
// 引入相关模块：
var session = require('express-session');  
var redis = require('redis');  
var RedisStore = require('connect-redis')(session);


// 创建Redis客户端
var redisClient = redis.createClient(6379, '127.0.0.1', {auth_pass: 'password'});


// 设置 Express 的 Session 存储中间件
app.use(session({  
    store:new RedisStore({client: redisClient}),
    secret: 'password',
    resave: false,
    saveUninitialized: false
}))

// 测试
app.use(function (req, res, next) {  
  if (!req.session) {
    return next(new Error('error'))
  }
  next()
})

此时：你的session信息就转移到redis数据库了，当应用重启后数据仍然可以通过cookie中的sessionid获取到，做到数据持久化，提高应用的健壮性。当然你可以尝试存到其它数据库里面，选择redis在于它极高的性能。

结语

不管是express-cookie、express-session、connect-redis 都只是node的中间件，使用都非常简单，关键点在于理解其中的原理，在不同场景都能很好的应用。